Cos'è il dlp Prevenzione della fuga di dati - DLP. Considera un algoritmo di risposta agli incidenti

Anche i termini informatici più alla moda dovrebbero essere usati in modo appropriato e corretto possibile. Almeno per non fuorviare i consumatori. È sicuramente diventato di moda classificarsi come produttore di soluzioni DLP. Ad esempio, alla recente fiera CeBIT-2008, la scritta "soluzione DLP" poteva essere vista spesso sugli stand dei produttori non solo di antivirus e server proxy poco conosciuti nel mondo, ma anche di firewall. A volte c'era la sensazione che dietro l'angolo si potesse vedere una specie di espulsore di CD (il programma che controlla l'apertura del lettore CD) con l'orgoglioso slogan di una soluzione DLP aziendale. E, stranamente, ognuno di questi produttori, di regola, aveva una spiegazione più o meno logica per tale posizionamento del proprio prodotto (ovviamente, oltre al desiderio di ottenere un "gesheft" da un termine alla moda).

Prima di considerare il mercato dei produttori di sistemi DLP e dei suoi principali attori, è necessario definire cosa si intende per sistema DLP. Numerosi sono stati i tentativi di definire questa classe di sistemi informativi: ILD&P - Information Leakage Detection & Prevention ("identificazione e prevenzione delle perdite di informazioni", termine proposto da IDC nel 2007), ILP - Information Leakage Protection ("protezione contro le perdite di informazioni ”, Forrester, 2006), ALS - Anti-Leakage Software (“software anti-leakage”, E&Y), Content Monitoring and Filtering (CMF, Gartner), Extrusion Prevention System (simile al sistema di prevenzione delle intrusioni).

Ma come termine comunemente usato si è affermato il nome DLP - Data Loss Prevention (o Data Leak Prevention, protezione contro le fughe di dati), proposto nel 2005. L'espressione “sistemi per la protezione dei dati riservati dalle minacce interne”. Allo stesso tempo, le minacce interne sono intese come abusi (intenzionali o accidentali) da parte dei dipendenti dell'organizzazione che hanno diritti legali di accesso ai dati rilevanti, ai loro poteri.

I criteri più coerenti e coerenti per l'appartenenza ai sistemi DLP sono stati proposti da Forrester Research durante il loro studio annuale di questo mercato. Hanno proposto quattro criteri in base ai quali un sistema può essere classificato come DLP. uno.

Multicanale. Il sistema deve essere in grado di monitorare diversi possibili canali di fuga di dati. In un ambiente di rete, questo è almeno e-mail, Web e IM (messaggistica istantanea) e non solo la scansione del traffico di posta o dell'attività del database. Sulla workstation: monitoraggio delle operazioni sui file, lavoro con gli appunti, nonché controllo di e-mail, Web e messaggistica istantanea. 2.

gestione unificata. Il sistema deve disporre di mezzi unificati per la gestione della politica di sicurezza delle informazioni, l'analisi e la segnalazione degli eventi attraverso tutti i canali di monitoraggio. 3.

Protezione attiva. Il sistema non dovrebbe solo rilevare le violazioni della politica di sicurezza, ma anche, se necessario, farla rispettare. Ad esempio, blocca i messaggi sospetti. 4.

Sulla base di questi criteri, Forrester ha selezionato 12 fornitori di software per la revisione e la valutazione nel 2008 (sono elencati di seguito in ordine alfabetico, con il nome della società acquisita da questo fornitore per entrare nel mercato DLP tra parentesi):

1. codice verde;
2. InfoWatch;
3. McAfee (Onigma);
4. orchestra;
5. riconnettersi;
6. RSA/EMC (Tablus);
7. Symantec (Vontu);
8. Trend Micro (Provilla);
9. Verdasys;
10. Vericetto;
11. Websense (Autorità portuale);
12. condivisione di lavoro.

Ad oggi, dei 12 fornitori di cui sopra, solo InfoWatch e Websense sono rappresentati sul mercato russo in un modo o nell'altro. Gli altri o non funzionano affatto in Russia o hanno appena annunciato l'intenzione di iniziare a vendere soluzioni DLP (Trend Micro).

Considerando la funzionalità dei sistemi DLP, gli analisti (Forrester, Gartner, IDC) introducono una categorizzazione degli oggetti di protezione - tipi di oggetti informativi da monitorare. Tale categorizzazione consente, in prima approssimazione, di valutare la portata di un particolare sistema. Esistono tre categorie di oggetti di monitoraggio.

1. Dati in movimento (dati in movimento): messaggi di posta elettronica, cercapersone Internet, reti peer-to-peer, trasferimento di file, traffico Web e altri tipi di messaggi che possono essere trasmessi tramite canali di comunicazione. 2. Dati inattivi (dati archiviati): informazioni su workstation, laptop, file server, archivi specializzati, dispositivi USB e altri tipi di dispositivi di archiviazione dati.

3. Dati in uso (dati in uso) - informazioni in corso di elaborazione.

Attualmente, il nostro mercato ha circa due dozzine di prodotti nazionali ed esteri che hanno alcune delle proprietà dei sistemi DLP. Brevi informazioni su di loro nello spirito della classificazione di cui sopra sono elencate nella tabella. 1 e 2. Anche nella tabella. 1 ha introdotto un parametro come “archiviazione e controllo centralizzato dei dati”, che implica la capacità del sistema di memorizzare i dati in un unico depositario (per tutti i canali di monitoraggio) per la loro ulteriore analisi e verifica. Questa funzionalità è recentemente diventata di particolare importanza, non solo per i requisiti di vari atti legislativi, ma anche per la popolarità tra i clienti (secondo l'esperienza dei progetti realizzati). Tutte le informazioni contenute in queste tabelle sono tratte da fonti pubbliche e materiali di marketing delle rispettive società.

Sulla base dei dati nelle tabelle 1 e 2, possiamo concludere che oggi ci sono solo tre sistemi DLP in Russia (da InfoWatch, Perimetrix e WebSence). Includono anche il prodotto integrato recentemente annunciato di Jet Infosystems (SKVT + SMAP), poiché coprirà diversi canali e avrà una gestione unificata delle politiche di sicurezza.

È piuttosto difficile parlare delle quote di mercato di questi prodotti in Russia, poiché la maggior parte dei produttori citati non rivela i volumi di vendita, il numero di clienti e le postazioni protette, limitandosi solo alle informazioni di marketing. Possiamo solo dire con certezza che i principali fornitori al momento sono:

• Sistemi Dozor, presenti sul mercato dal 2001;
• Prodotti InfoWatch venduti dal 2004;
• WebSense CPS (ha iniziato a essere venduto in Russia e nel mondo nel 2007);
• Perimetrix (una giovane azienda la cui prima versione dei suoi prodotti è stata annunciata sul suo sito alla fine del 2008).

In conclusione, vorrei aggiungere che appartenere o meno alla classe dei sistemi DLP non peggiora o migliora i prodotti, è solo una questione di classificazione e niente di più.

Tabella 1. Prodotti sul mercato russo con determinate proprietà dei sistemi DLP

Azienda	Prodotto	Caratteristiche del prodotto
		Protezione dei "dati in movimento" (data-in-motion)	Protezione dei dati in uso	Protezione dei dati inattivi	Archiviazione e controllo centralizzati
InfoWatch	Monitoraggio del traffico IW	sì	sì	Non	sì
	IW CryptoStorage	Non	Non	sì	Non
perimetro	Spazio sicuro	sì	sì	sì	sì
Sistemi informativi Jet	Dozor Jet (SKVT)	sì	Non	Non	sì
	Dozor Jet (SMAP)	sì	Non	Non	sì
Smart Line Inc.	Blocco dispositivo	Non	sì	Non	sì
SecurIT	Zlock	Non	sì	Non	Non
	Guardiano della Segretezza	Non	sì	Non	Non
SpectorSoft	Spettro 360	sì	Non	Non	Non
Sicurezza Luminosa	Controllo del dispositivo del Santuario	Non	sì	Non	Non
senso del web	Protezione dei contenuti Websense	sì	sì	sì	Non
Informaschita	studio di sicurezza	Non	sì	sì	Non
Primetek	insider	Non	sì	Non	Non
Software AtomPark	poliziotto	Non	sì	Non	Non
SoftInform	CercaInformServer	sì	sì	Non	Non

Tabella 2. Conformità dei prodotti presentati sul mercato russo ai criteri di appartenenza alla classe dei sistemi DLP

Azienda	Prodotto	Criterio di appartenenza ai sistemi DLP
		Multicanale	Gestione unificata	Protezione attiva	Contabilità sia del contenuto che del contesto
InfoWatch	Monitoraggio del traffico IW	sì	sì	sì	sì
perimetro	Spazio sicuro	sì	sì	sì	sì
“Sistemi informativi Jet”	"Dozor Jet" (SKVT)	Non	Non	sì	sì
	"Dozor Jet" (SMAP)	Non	Non	sì	sì
Smart Line Inc.	Blocco dispositivo	Non	Non	Non	Non
SecurIT	Zlock	Non	Non	Non	Non
Software Smart Protection Labs	Guardiano della Segretezza	sì	sì	sì	Non
SpectorSoft	Spettro 360	sì	sì	sì	Non
Sicurezza Luminosa	Controllo del dispositivo del Santuario	Non	Non	Non	Non
senso del web	Protezione dei contenuti Websense	sì	sì	sì	sì
"Informatica"	studio di sicurezza	sì	sì	sì	Non
Primetek	insider	sì	sì	sì	Non
"Software AtomPark"	poliziotto	sì	sì	sì	Non
"SoftInform"	CercaInformServer	sì	sì	Non	Non
"Infodifesa"	"Infoperimetro"	sì	sì	Non	Non

Offriamo una gamma di marcatori per aiutarti a ottenere il massimo da qualsiasi sistema DLP.

DLPsistemi: che cos'è

Ricordiamo che i sistemi DLP (Data Loss / Leak Prevention) consentono di controllare tutti i canali di comunicazione della rete aziendale (posta, Internet, sistemi di messaggistica istantanea, unità flash, stampanti, ecc.). La protezione contro la perdita di informazioni si ottiene grazie al fatto che gli agenti sono installati su tutti i computer dei dipendenti che raccolgono informazioni e le trasferiscono al server. A volte le informazioni vengono raccolte attraverso un gateway utilizzando le tecnologie SPAN. Le informazioni vengono analizzate, dopodiché il sistema o il responsabile della sicurezza prendono decisioni sull'incidente.

Quindi, la tua azienda ha implementato un sistema DLP. Quali passi devono essere presi per far funzionare il sistema in modo efficace?

1. Configurare correttamente le regole di sicurezza

Immaginiamo che in un sistema che serve 100 computer, venga creata una regola "Correggi tutta la corrispondenza con la parola "contratto"". Tale regola provocherà un numero enorme di incidenti in cui la vera perdita può andare persa.

Inoltre, non tutte le aziende possono permettersi di mantenere un intero staff di dipendenti che tiene traccia degli incidenti.

Per aumentare il tasso di utilità delle regole, puoi utilizzare strumenti per creare regole efficaci e tenere traccia dei risultati del loro lavoro. Ogni sistema DLP ha una funzione che ti consente di farlo.

In generale, la metodologia prevede l'analisi del database accumulato degli incidenti e la creazione di varie combinazioni di regole, che idealmente portano alla comparsa di 5-6 incidenti davvero urgenti al giorno.

2. Aggiornare le norme di sicurezza a intervalli regolari

Una forte diminuzione o aumento del numero di incidenti è un indicatore della necessità di adeguare le regole. Le ragioni possono essere che la norma ha perso rilevanza (gli utenti hanno smesso di accedere a determinati file) oppure i dipendenti hanno appreso la regola e non eseguono più azioni vietate dal sistema (DLP - sistema di formazione). Tuttavia, la pratica mostra che se si impara una regola, in un luogo vicino i potenziali rischi di perdite sono aumentati.

Dovresti anche prestare attenzione alla stagionalità nel lavoro dell'impresa. Nel corso dell'anno, i parametri chiave relativi alle specificità del lavoro dell'azienda possono cambiare. Ad esempio, per un fornitore all'ingrosso di piccole attrezzature, le biciclette saranno importanti in primavera e gli scooter da neve in autunno.

3. Considera un algoritmo di risposta agli incidenti

Esistono diversi approcci alla risposta agli incidenti. Durante il test e l'esecuzione di sistemi DLP, molto spesso le persone non vengono informate delle modifiche. I partecipanti agli incidenti vengono solo osservati. Quando si accumula una massa critica, un rappresentante del dipartimento di sicurezza o del dipartimento del personale comunica con loro. In futuro, il lavoro con gli utenti viene spesso lasciato alla mercé dei rappresentanti del dipartimento di sicurezza. Ci sono mini-conflitti, accumulazioni negative nella squadra. Può sfociare nel deliberato sabotaggio dei dipendenti in relazione all'azienda. È importante trovare un equilibrio tra i requisiti di disciplina e il mantenimento di un'atmosfera sana nella squadra.

4. Verificare il funzionamento della modalità di blocco

Esistono due modalità di risposta a un incidente nel sistema: correzione e blocco. Se ogni fatto relativo all'inoltro di una lettera o all'allegato di un file allegato a un'unità flash viene bloccato, ciò crea problemi per l'utente. Spesso i dipendenti attaccano l'amministratore di sistema con richieste di sblocco di alcune funzioni, anche la direzione potrebbe essere insoddisfatta di tali impostazioni. Di conseguenza, il sistema DLP e l'azienda ricevono un negativo, il sistema viene screditato e smascherato.

5. Verificare se è stato introdotto un regime di segreto commerciale

Ti consente di rendere riservate determinate informazioni e obbliga anche chiunque ne sia a conoscenza a assumersi la piena responsabilità legale per la loro divulgazione. In caso di grave fuga di informazioni nell'ambito del regime del segreto commerciale operante presso l'impresa, il trasgressore può recuperare l'importo del danno reale e morale attraverso il tribunale in conformità con 98-FZ "Sui segreti commerciali".

Ci auguriamo che questi suggerimenti aiutino a ridurre il numero di perdite involontarie nelle aziende, perché i sistemi DLP sono progettati per affrontarle con successo. Tuttavia, non bisogna dimenticare il complesso sistema di sicurezza delle informazioni e il fatto che le fughe di informazioni intenzionali richiedono un'attenzione particolare. Esistono soluzioni moderne che consentono di integrare la funzionalità dei sistemi DLP e di ridurre notevolmente il rischio di perdite intenzionali. Ad esempio, uno degli sviluppatori offre una tecnologia interessante: quando si accede spesso a file riservati, la webcam si accende automaticamente e inizia a registrare. È stato questo sistema che ha permesso di registrare come lo sfortunato rapitore ha attivamente catturato schermate utilizzando una fotocamera mobile.

Oleg Necheukhin, Esperto di sicurezza dei sistemi informatici, Kontur.Security

28.01.2014 Sergej Korablev

La scelta di qualsiasi prodotto di livello aziendale non è un compito banale per specialisti tecnici e decisori. La scelta di un sistema di prevenzione della perdita di dati di Data Leak Protection (DLP) è ancora più difficile. La mancanza di un sistema concettuale unificato, studi comparativi indipendenti regolari e la complessità dei prodotti stessi costringono i consumatori a ordinare progetti pilota dai produttori e condurre in modo indipendente numerosi test, determinando la gamma delle proprie esigenze e correlandole con le capacità dei sistemi in uso testato

Un simile approccio è certamente corretto. Una decisione equilibrata, e in alcuni casi anche duramente conquistata, semplifica l'ulteriore implementazione ed evita delusioni nel funzionamento di un particolare prodotto. Tuttavia, il processo decisionale in questo caso può essere ritardato, se non di anni, quindi di molti mesi. Inoltre, la costante espansione del mercato, l'emergere di nuove soluzioni e produttori complicano ulteriormente il compito non solo di scegliere un prodotto per l'implementazione, ma anche di creare una rosa preliminare di sistemi DLP adatti. In tali condizioni, le revisioni aggiornate dei sistemi DLP sono di indubbio valore pratico per gli specialisti tecnici. Una particolare soluzione dovrebbe essere inclusa nell'elenco dei test o sarebbe troppo complessa da implementare in una piccola organizzazione? La soluzione può essere scalata per un'azienda con 10.000 dipendenti? Un sistema DLP può controllare file CAD business-critical? Un confronto aperto non sostituirà test approfonditi, ma aiuterà a rispondere alle domande di base che sorgono nella fase iniziale del processo di selezione DLP.

Membri

Sono stati selezionati come partecipanti i sistemi DLP più popolari (secondo il centro analitico Anti-Malware.ru a metà 2013) delle società InfoWatch, McAfee, Symantec, Websense, Zecurion e Jet Infosystem nel mercato russo della sicurezza delle informazioni.

Per l'analisi sono state utilizzate le versioni disponibili in commercio dei sistemi DLP al momento della preparazione della revisione, nonché la documentazione e le revisioni aperte dei prodotti.

I criteri per confrontare i sistemi DLP sono stati selezionati in base alle esigenze di aziende di varie dimensioni e settori. Il compito principale dei sistemi DLP è prevenire la fuga di informazioni riservate attraverso vari canali.

Esempi di prodotti di queste aziende sono mostrati nelle Figure 1-6.

Figura 3 Prodotto Symantec

Figura 4. Prodotto InfoWatch

Figura 5. Prodotto Websense

Figura 6. Prodotto McAfee

Modalità operative

Due modalità operative principali dei sistemi DLP sono attiva e passiva. Attivo: in genere la modalità operativa principale, che blocca le azioni che violano i criteri di sicurezza, come l'invio di informazioni riservate a una cassetta postale esterna. La modalità passiva viene spesso utilizzata nella fase di configurazione del sistema per controllare e regolare le impostazioni quando la percentuale di falsi positivi è elevata. In questo caso vengono registrate le violazioni delle policy, ma non vengono imposte restrizioni alla circolazione delle informazioni (Tabella 1).

Sotto questo aspetto, tutti i sistemi considerati sono risultati equivalenti. Ciascuno dei DLP può funzionare sia in modalità attiva che passiva, il che offre al cliente una certa libertà. Non tutte le aziende sono pronte per iniziare a gestire immediatamente DLP in modalità di blocco: ciò è irto di interruzioni dei processi aziendali, insoddisfazione da parte dei dipendenti dei dipartimenti controllati e reclami (compresi quelli giustificati) dalla direzione.

Tecnologia

Le tecnologie di rilevamento consentono di classificare le informazioni trasmesse tramite canali elettronici e di identificare le informazioni riservate. Oggi esistono diverse tecnologie di base e le loro varietà, simili nell'essenza, ma diverse nell'implementazione. Ogni tecnologia presenta vantaggi e svantaggi. Inoltre, diversi tipi di tecnologie sono adatti per analizzare informazioni di classi diverse. Pertanto, i produttori di soluzioni DLP cercano di integrare il numero massimo di tecnologie nei loro prodotti (vedi Tabella 2).

In generale, i prodotti prevedono un gran numero di tecnologie che, se opportunamente configurate, garantiscono un'elevata percentuale di riconoscimento delle informazioni riservate. DLP McAfee, Symantec e Websense sono piuttosto poco adatti al mercato russo e non possono offrire agli utenti supporto per le tecnologie del "linguaggio": morfologia, analisi della traslitterazione e testo mascherato.

Canali controllati

Ogni canale di trasmissione dei dati è un potenziale canale per le perdite. Anche un solo canale aperto può vanificare tutti gli sforzi del servizio di sicurezza delle informazioni che controlla i flussi di informazioni. Ecco perché è così importante bloccare i canali che non vengono utilizzati dai dipendenti per il lavoro e controllare il resto con l'aiuto di sistemi di prevenzione delle perdite.

Nonostante i migliori moderni sistemi DLP siano in grado di monitorare un gran numero di canali di rete (vedi Tabella 3), è consigliabile bloccare i canali non necessari. Ad esempio, se un dipendente lavora su un computer solo con un database interno, ha senso disabilitare del tutto il suo accesso a Internet.

Conclusioni simili valgono anche per i canali di dispersione locali. È vero, in questo caso può essere più difficile bloccare i singoli canali, poiché le porte vengono spesso utilizzate per collegare periferiche, dispositivi I/O, ecc.

La crittografia svolge un ruolo speciale nella prevenzione delle perdite attraverso porte locali, unità mobili e dispositivi. Gli strumenti di crittografia sono abbastanza facili da usare, il loro utilizzo può essere trasparente per l'utente. Ma allo stesso tempo, la crittografia consente di escludere un'intera classe di perdite associate all'accesso non autorizzato alle informazioni e alla perdita di unità mobili.

La situazione con il controllo degli agenti locali è generalmente peggiore che con i canali di rete (vedi tabella 4). Solo i dispositivi USB e le stampanti locali sono controllati correttamente da tutti i prodotti. Inoltre, nonostante l'importanza della crittografia sopra menzionata, tale possibilità è presente solo in alcuni prodotti e la funzione di crittografia forzata basata sull'analisi del contenuto è presente solo in Zecurion DLP.

Per prevenire perdite, è importante non solo riconoscere i dati sensibili durante la trasmissione, ma anche limitare la distribuzione delle informazioni in un ambiente aziendale. A tal fine, i produttori includono strumenti nei sistemi DLP in grado di identificare e classificare le informazioni archiviate su server e workstation nella rete (vedere Tabella 5). I dati che violano le politiche di sicurezza delle informazioni devono essere eliminati o spostati in un'archiviazione sicura.

Per rilevare informazioni riservate sui nodi della rete aziendale, vengono utilizzate le stesse tecnologie utilizzate per controllare le perdite attraverso i canali elettronici. La differenza principale è architettonica. Se il traffico di rete o le operazioni sui file vengono analizzati per evitare perdite, le informazioni archiviate, ovvero i contenuti delle workstation e dei server di rete, vengono esaminate per rilevare copie non autorizzate di dati riservati.

Dei sistemi DLP considerati, solo InfoWatch e Dozor-Jet ignorano l'uso di mezzi per identificare le posizioni di archiviazione delle informazioni. Questa non è una caratteristica fondamentale per la prevenzione delle perdite elettroniche, ma limita notevolmente la capacità dei sistemi DLP di prevenire le perdite in modo proattivo. Ad esempio, quando un documento riservato si trova all'interno di una rete aziendale, non si tratta di una fuga di informazioni. Tuttavia, se l'ubicazione di questo documento non è regolamentata, se i proprietari delle informazioni e gli agenti di sicurezza non conoscono l'ubicazione di questo documento, ciò può causare una perdita. È possibile l'accesso non autorizzato alle informazioni o al documento non verranno applicate le regole di sicurezza appropriate.

Facilità di gestione

Caratteristiche come la facilità d'uso e il controllo possono essere importanti quanto le capacità tecniche delle soluzioni. Dopotutto, un prodotto davvero complesso sarà difficile da implementare, il progetto richiederà più tempo, sforzi e, di conseguenza, finanze. Un sistema DLP già implementato richiede l'attenzione di specialisti tecnici. Senza un'adeguata manutenzione, un controllo regolare e una regolazione delle impostazioni, la qualità del riconoscimento delle informazioni riservate diminuirà drasticamente nel tempo.

L'interfaccia di controllo nella lingua madre del responsabile della sicurezza è il primo passo per semplificare il lavoro con il sistema DLP. Non solo renderà più facile capire di cosa è responsabile questa o quella impostazione, ma accelererà anche notevolmente il processo di configurazione di un gran numero di parametri che devono essere configurati affinché il sistema funzioni correttamente. L'inglese può essere utile anche per gli amministratori di lingua russa per un'interpretazione univoca di concetti tecnici specifici (vedi tabella 6).

La maggior parte delle soluzioni fornisce una gestione abbastanza comoda da un'unica console (per tutti i componenti) con un'interfaccia web (vedi Tabella 7). Le eccezioni sono il russo InfoWatch (non esiste un'unica console) e Zecurion (non esiste un'interfaccia web). Allo stesso tempo, entrambi i produttori hanno già annunciato la comparsa di una console web nei loro futuri prodotti. La mancanza di un'unica console in InfoWatch è dovuta alla diversa base tecnologica dei prodotti. Lo sviluppo della propria soluzione di agenzia è stato interrotto per diversi anni e l'attuale EndPoint Security è il successore di un prodotto di terze parti, EgoSecure (precedentemente noto come cynapspro), acquisito dall'azienda nel 2012.

Un altro punto che può essere attribuito agli svantaggi della soluzione InfoWatch è che per configurare e gestire il prodotto DLP di punta InfoWatch TrafficMonitor, è necessario conoscere uno speciale linguaggio di scripting LUA, che complica il funzionamento del sistema. Tuttavia, per la maggior parte dei tecnici specializzati, la prospettiva di migliorare il proprio livello professionale e di apprendere una lingua aggiuntiva, anche se non molto comune, dovrebbe essere percepita positivamente.

La separazione dei ruoli di amministratore di sistema è necessaria per ridurre al minimo i rischi di impedire la comparsa di un superutente con diritti illimitati e altre macchinazioni tramite DLP.

Registrazione e reportistica

L'archivio DLP è un database che accumula e memorizza eventi e oggetti (file, lettere, richieste http, ecc.) registrati dai sensori del sistema durante il suo funzionamento. Le informazioni raccolte nel database possono essere utilizzate per vari scopi, tra cui l'analisi delle azioni degli utenti, il salvataggio di copie di documenti critici, come base per l'indagine sugli incidenti di sicurezza delle informazioni. Inoltre, la base di tutti gli eventi è estremamente utile nella fase di implementazione di un sistema DLP, poiché aiuta ad analizzare il comportamento dei componenti del sistema DLP (ad esempio per scoprire perché determinate operazioni sono bloccate) e a regolare le impostazioni di sicurezza (vedi tabella 8).

In questo caso, vediamo una differenza architettonica fondamentale tra i DLP russi e occidentali. Questi ultimi non archiviano affatto. In questo caso, la stessa DLP diventa più facile da mantenere (non è necessario mantenere, archiviare, eseguire il backup e studiare un'enorme quantità di dati), ma non da operare. Dopotutto, l'archivio degli eventi aiuta a configurare il sistema. L'archivio aiuta a capire perché la trasmissione delle informazioni è stata bloccata, a verificare se la regola ha funzionato correttamente e ad apportare le necessarie correzioni alle impostazioni di sistema. Va inoltre notato che i sistemi DLP necessitano non solo di una configurazione iniziale durante l'implementazione, ma anche di una regolare "regolazione" durante il funzionamento. Un sistema non adeguatamente mantenuto, non allevato da specialisti tecnici, perderà molto nella qualità del riconoscimento delle informazioni. Di conseguenza, aumenteranno sia il numero di incidenti che il numero di falsi positivi.

La segnalazione è una parte importante di qualsiasi attività. La sicurezza delle informazioni non fa eccezione. I report nei sistemi DLP svolgono diverse funzioni contemporaneamente. In primo luogo, report concisi e comprensibili consentono ai responsabili dei servizi di sicurezza delle informazioni di monitorare rapidamente lo stato della sicurezza delle informazioni senza entrare nei dettagli. In secondo luogo, i report dettagliati aiutano i responsabili della sicurezza a regolare le politiche di sicurezza e le impostazioni di sistema. In terzo luogo, i report visivi possono sempre essere mostrati ai top manager dell'azienda per dimostrare i risultati del sistema DLP e gli stessi specialisti della sicurezza delle informazioni (vedi Tabella 9).

Quasi tutte le soluzioni concorrenti discusse nella recensione offrono sia report grafici, convenienti per i top manager e responsabili dei servizi di sicurezza delle informazioni, sia report tabulari, più adatti agli specialisti tecnici. I rapporti grafici mancano solo in DLP InfoWatch, per il quale sono stati ridotti.

Certificazione

La questione della necessità della certificazione per gli strumenti di sicurezza delle informazioni e in particolare per il DLP è aperta e gli esperti spesso discutono su questo argomento all'interno delle comunità professionali. Riassumendo i pareri delle parti, va riconosciuto che la certificazione di per sé non fornisce seri vantaggi competitivi. Allo stesso tempo, ci sono una serie di clienti, in primis enti governativi, per i quali è obbligatoria la presenza di un determinato certificato.

Inoltre, la procedura di certificazione esistente non si correla bene con il ciclo di sviluppo del software. Di conseguenza, i consumatori si trovano di fronte a una scelta: acquistare una versione del prodotto già obsoleta, ma certificata, oppure una versione aggiornata, ma non certificata. La via d'uscita standard in questa situazione è acquistare un prodotto certificato "a scaffale" e utilizzare il nuovo prodotto in un ambiente reale (vedi Tabella 10).

Risultati di confronto

Riassumiamo le impressioni delle soluzioni DLP considerate. In generale, tutti i partecipanti hanno avuto un'impressione favorevole e possono essere utilizzati per prevenire fughe di informazioni. Le differenze nei prodotti consentono di specificare l'ambito della loro applicazione.

Il sistema InfoWatch DLP può essere consigliato alle organizzazioni per le quali è di fondamentale importanza disporre di un certificato FSTEC. Tuttavia, l'ultima versione certificata di InfoWatch Traffic Monitor è stata testata alla fine del 2010 e il certificato scade alla fine del 2013. Le soluzioni basate su agenti basate su InfoWatch EndPoint Security (noto anche come EgoSecure) sono più adatte per le piccole imprese e possono essere utilizzate separatamente da Traffic Monitor. L'uso combinato di Traffic Monitor ed EndPoint Security può causare problemi di scalabilità nelle grandi aziende.

I prodotti dei produttori occidentali (McAfee, Symantec, Websense), secondo agenzie analitiche indipendenti, sono molto meno popolari di quelli russi. Il motivo è il basso livello di localizzazione. E non è nemmeno la complessità dell'interfaccia o la mancanza di documentazione in russo. Le caratteristiche delle tecnologie di riconoscimento delle informazioni riservate, i modelli preconfigurati e le regole sono "affilati" per l'uso di DLP nei paesi occidentali e mirano a soddisfare i requisiti normativi occidentali. Di conseguenza, in Russia la qualità del riconoscimento delle informazioni è notevolmente peggiore e il rispetto dei requisiti degli standard stranieri è spesso irrilevante. Allo stesso tempo, i prodotti stessi non sono affatto male, ma è improbabile che le specifiche dell'utilizzo dei sistemi DLP sul mercato russo consentano loro di diventare più popolari degli sviluppi nazionali nel prossimo futuro.

Zecurion DLP si distingue per la buona scalabilità (l'unico sistema DLP russo con implementazione confermata per oltre 10.000 lavori) e l'elevata maturità tecnologica. Quello che sorprende, invece, è l'assenza di una console web che aiuti a semplificare la gestione di una soluzione enterprise rivolta a vari segmenti di mercato. I punti di forza di Zecurion DLP includono il riconoscimento di informazioni riservate di alta qualità e una linea completa di prodotti per la prevenzione delle perdite, inclusa la protezione al gateway, alle workstation e ai server, al rilevamento della posizione e agli strumenti di crittografia dei dati.

Il sistema Dozor-Jet DLP, uno dei pionieri del mercato DLP nazionale, è ampiamente distribuito tra le aziende russe e continua a far crescere la propria base di clienti grazie alle estese connessioni dell'integratore di sistemi Jet Infosystems, part-time e sviluppatore DLP. Sebbene tecnologicamente DLP sia in qualche modo indietro rispetto alle sue controparti più potenti, il suo utilizzo può essere giustificato in molte aziende. Inoltre, a differenza delle soluzioni straniere, Dozor Jet consente di archiviare tutti gli eventi e i file.

I canali di fuga che portano all'acquisizione di informazioni al di fuori del sistema informativo aziendale possono essere perdite di rete (ad esempio, e-mail o ICQ), perdite locali (uso di unità USB esterne), dati archiviati (banche dati). Separatamente, puoi evidenziare la perdita di supporti (memoria flash, laptop). Un sistema può essere attribuito alla classe DLP se soddisfa i seguenti criteri: multicanale (monitoraggio di più possibili canali di fuga di dati); gestione unificata (strumenti di gestione unificati per tutti i canali di monitoraggio); protezione attiva (rispetto della politica di sicurezza); considerando sia il contenuto che il contesto.

Il vantaggio competitivo della maggior parte dei sistemi è il modulo di analisi. I produttori enfatizzano così tanto questo modulo che spesso chiamano i loro prodotti dopo di esso, ad esempio "Soluzione DLP basata su etichetta". Pertanto, l'utente sceglie spesso soluzioni non in base a prestazioni, scalabilità o altri criteri tradizionali per il mercato della sicurezza delle informazioni aziendali, ma in base al tipo di analisi documentale utilizzata.

Ovviamente, poiché ogni metodo ha i suoi vantaggi e svantaggi, l'utilizzo di un solo metodo di analisi del documento rende la soluzione tecnologicamente dipendente da esso. La maggior parte dei produttori utilizza diversi metodi, sebbene uno di questi sia solitamente il metodo "ammiraglia". Questo articolo è un tentativo di classificare i metodi utilizzati nell'analisi dei documenti. I loro punti di forza e di debolezza sono valutati sulla base dell'esperienza nell'applicazione pratica di diversi tipi di prodotti. L'articolo fondamentalmente non considera prodotti specifici, perché. il compito principale dell'utente quando li sceglie è eliminare slogan di marketing come "proteggeremo tutto da tutto", "tecnologia brevettata unica" e realizzare cosa gli rimarrà quando i venditori se ne andranno.

Analisi del contenitore

Questo metodo analizza le proprietà di un file o di un altro contenitore (archivio, disco crittografico, ecc.) che contiene informazioni. Il nome colloquiale di tali metodi è "soluzioni su etichette", che riflette abbastanza pienamente la loro essenza. Ogni contenitore contiene un'etichetta che identifica in modo univoco il tipo di contenuto contenuto all'interno del contenitore. I metodi citati praticamente non richiedono risorse informatiche per analizzare le informazioni spostate, poiché l'etichetta descrive completamente i diritti dell'utente di spostare i contenuti lungo qualsiasi percorso. In una forma semplificata, un tale algoritmo suona così: "c'è un'etichetta - la vietiamo, non c'è etichetta - la saltiamo".

I vantaggi di questo approccio sono evidenti: la velocità di analisi e la completa assenza di errori del secondo tipo (quando il sistema rileva erroneamente un documento aperto come riservato). Tali metodi sono chiamati "deterministici" in alcune fonti.

Anche gli svantaggi sono evidenti: il sistema si preoccupa solo delle informazioni contrassegnate: se il tag non è impostato, il contenuto non è protetto. È necessario sviluppare una procedura per etichettare i documenti nuovi e in entrata, nonché un sistema per contrastare il trasferimento di informazioni da un contenitore etichettato a uno senza etichetta attraverso operazioni di buffer, operazioni su file, copia di informazioni da file temporanei, ecc.

La debolezza di tali sistemi si manifesta anche nell'organizzazione dell'etichettatura. Se vengono inseriti dall'autore del documento, per dolo ha l'opportunità di non contrassegnare le informazioni che sta per rubare. In assenza di intento doloso, prima o poi si manifesterà negligenza o negligenza. Se si obbliga a etichettare un determinato dipendente, ad esempio un responsabile della sicurezza delle informazioni o un amministratore di sistema, non sarà sempre in grado di distinguere i contenuti riservati da quelli aperti, poiché non conosce a fondo tutti i processi dell'azienda. Pertanto, il saldo "bianco" dovrebbe essere pubblicato sul sito Web dell'azienda e il saldo "grigio" o "nero" non può essere rimosso dal sistema informativo. Ma solo il capo contabile può distinguere l'uno dall'altro, cioè uno degli autori.

Le etichette sono generalmente suddivise in attributo, formato ed esterno. Come suggerisce il nome, i primi sono inseriti negli attributi del file, i secondi sono inseriti nei campi del file stesso e i terzi sono allegati (associati) al file da programmi esterni.

Strutture container in IB

A volte i vantaggi delle soluzioni basate su tag sono anche requisiti di prestazioni bassi per gli intercettori, perché controllano solo i tag, ad es. agire come tornelli nella metropolitana: "se hai un biglietto, passa". Tuttavia, non dimenticare che i miracoli non accadono: in questo caso, il carico di calcolo viene spostato sulle workstation.

Il luogo delle decisioni sulle etichette, qualunque esse siano, è la protezione della conservazione dei documenti. Quando un'azienda dispone di un archivio di documenti che, da un lato, viene rifornito abbastanza raramente e, dall'altro, la categoria e il livello di riservatezza di ciascun documento sono noti con precisione, è più facile organizzarne la protezione tramite etichette. È possibile organizzare il posizionamento delle etichette sui documenti che entrano nel repository utilizzando una procedura organizzativa. Ad esempio, prima di inviare un documento al repository, il dipendente responsabile del suo funzionamento può contattare l'autore e lo specialista con la domanda su quale livello di riservatezza impostare per il documento. Questo compito viene risolto con successo in particolare con l'aiuto dei segni di formato, ad es. ogni documento in entrata viene archiviato in un formato sicuro e quindi emesso su richiesta del dipendente, indicandolo come autorizzato alla lettura. Le moderne soluzioni consentono di assegnare i diritti di accesso per un tempo limitato e, dopo la scadenza della chiave, il documento interrompe semplicemente la lettura. È secondo questo schema che si organizza, ad esempio, il rilascio della documentazione per gli appalti pubblici negli Stati Uniti: il sistema di gestione degli appalti genera un documento leggibile senza possibilità di modificare o copiare solo il contenuto del bando partecipanti elencati in questo documento. La chiave di accesso è valida solo fino al termine per la presentazione dei documenti al concorso, trascorso il quale il documento cessa di essere letto.

Inoltre, con l'aiuto di soluzioni basate su tag, le aziende organizzano la circolazione dei documenti in segmenti chiusi della rete in cui circolano proprietà intellettuale e segreti di stato. Probabilmente, ora, secondo i requisiti della legge federale "sui dati personali", sarà organizzato anche il flusso di documenti nei dipartimenti del personale delle grandi aziende.

Analisi del contenuto

Nell'implementare le tecnologie descritte in questa sezione, a differenza di quelle descritte in precedenza, è invece del tutto indifferente in quale contenitore sia conservato il contenuto. Lo scopo di queste tecnologie è estrarre contenuti significativi da un contenitore o intercettare una trasmissione su un canale di comunicazione e analizzare le informazioni per i contenuti vietati.

Le principali tecnologie per rilevare i contenuti vietati nei contenitori sono il controllo delle firme, il controllo basato su hash e i metodi linguistici.

Firme

Il metodo di controllo più semplice consiste nel cercare nel flusso di dati una sequenza di caratteri. A volte una sequenza di caratteri vietata è chiamata "stop word", ma in un caso più generale può essere rappresentata non da una parola, ma da un insieme arbitrario di caratteri, ad esempio dalla stessa etichetta. In generale, questo metodo non può essere attribuito all'analisi del contenuto in tutte le sue implementazioni. Ad esempio, nella maggior parte dei dispositivi della classe UTM, la ricerca di firme vietate nel flusso di dati avviene senza estrarre il testo dal contenitore, quando si analizza il flusso "così com'è". Oppure, se il sistema è configurato per una sola parola, il risultato del suo lavoro è la determinazione di una corrispondenza del 100%, ad es. metodo può essere classificato come deterministico.

Tuttavia, più spesso la ricerca di una specifica sequenza di caratteri viene ancora utilizzata nell'analisi del testo. Nella stragrande maggioranza dei casi, i sistemi di firma sono configurati per cercare più parole e la frequenza di occorrenza dei termini, ad es. faremo comunque riferimento a questo sistema ai sistemi di analisi dei contenuti.

I vantaggi di questo metodo includono l'indipendenza dalla lingua e la facilità di reintegrare il dizionario dei termini proibiti: se si desidera utilizzare questo metodo per cercare una parola in pashtu nel flusso di dati, non è necessario conoscere questa lingua, è sufficiente bisogno di sapere come è scritto. È anche facile aggiungere, ad esempio, testo russo traslitterato o lingua "albanese", che è importante, ad esempio, quando si analizzano testi SMS, messaggi ICQ o post di blog.

Gli svantaggi diventano evidenti quando si utilizza una lingua non inglese. Sfortunatamente, la maggior parte dei produttori di sistemi di analisi del testo funziona per il mercato americano e la lingua inglese è molto "firma" - le forme delle parole sono spesso formate utilizzando preposizioni senza cambiare la parola stessa. In russo, tutto è molto più complicato. Prendi, ad esempio, la parola "segreto" cara al cuore di un addetto alla sicurezza delle informazioni. In inglese significa sia il sostantivo "secret", l'aggettivo "secret" che il verbo "to keep secret". In russo, dalla radice "segreto" possono essere formate diverse dozzine di parole diverse. Quelli. se in un'organizzazione di lingua inglese è sufficiente che un addetto alla sicurezza delle informazioni inserisca una parola, in un'organizzazione di lingua russa dovrà inserire un paio di dozzine di parole e poi cambiarle in sei diverse codifiche.

Inoltre, tali metodi sono instabili rispetto alla codifica primitiva. Quasi tutti cedono al trucco preferito degli spammer principianti: sostituire i personaggi con altri simili. L'autore ha ripetutamente dimostrato agli agenti di sicurezza un trucco elementare: il passaggio di testo riservato attraverso i filtri delle firme. Viene preso un testo contenente, ad esempio, la frase "top secret" e un intercettore di posta configurato per questa frase. Se il testo viene aperto in MS Word, un'operazione di due secondi: Ctrl + F, "trova "o" (layout russo)", "sostituisci con "o" (layout inglese)", "sostituisci tutto", "invia documento" - rende il documento assolutamente invisibile a questo filtro. È tanto più deludente che tale sostituzione avvenga tramite i normali mezzi di MS Word o qualsiasi altro editor di testo, ad es. sono disponibili per l'utente, anche se non dispone dei diritti di amministratore locale e della capacità di eseguire programmi di crittografia.

Molto spesso, il controllo del flusso basato sulla firma è incluso nella funzionalità dei dispositivi UTM, ad es. soluzioni che ripuliscono il traffico da virus, spam, intrusioni e qualsiasi altra minaccia rilevata dalle firme. Poiché questa funzione è "gratuita", gli utenti spesso ritengono che sia sufficiente. Tali soluzioni proteggono davvero da perdite accidentali, ad es. nei casi in cui il testo in uscita non viene modificato dal mittente per bypassare il filtro, ma sono impotenti contro utenti malintenzionati.

maschere

Un'estensione della funzionalità della ricerca di firme stopword è la ricerca delle loro maschere. È una ricerca di tale contenuto che non può essere specificato con precisione nella base di "stop words", ma è possibile specificarne l'elemento o la struttura. Tali informazioni dovrebbero includere tutti i codici che caratterizzano una persona o un'impresa: TIN, numeri di conto, documenti, ecc. È impossibile cercarli usando le firme.

Non è ragionevole impostare il numero di una carta di credito specifica come oggetto di ricerca, ma vuoi trovare qualsiasi numero di carta di credito, indipendentemente da come è scritto, con spazi o insieme. Questo non è solo un desiderio, ma un requisito dello standard PCI DSS: è vietato inviare numeri di carte plastificate non crittografati via e-mail, ad es. è responsabilità dell'utente trovare tali numeri nell'e-mail e scartare i messaggi vietati.

Ecco, ad esempio, una maschera che specifica una stop word come il nome di un ordine riservato o segreto, il cui numero parte da zero. La maschera tiene conto non solo di un numero arbitrario, ma anche di ogni caso e persino della sostituzione delle lettere russe con quelle latine. La maschera è scritta nella notazione standard "REGEXP", sebbene diversi sistemi DLP possano avere una propria notazione più flessibile. La situazione è ancora peggiore con i numeri di telefono. Queste informazioni sono classificate come dati personali e puoi scriverle in una dozzina di modi, utilizzando diverse combinazioni di spazi, diversi tipi di parentesi, più e meno, ecc. Qui, forse, una sola maschera è indispensabile. Ad esempio, nei sistemi anti-spam, dove un compito simile deve essere risolto, vengono utilizzate diverse dozzine di maschere contemporaneamente per rilevare un numero di telefono.

Molti codici diversi inscritti nelle attività delle aziende e dei suoi dipendenti sono protetti da molte leggi e rappresentano segreti commerciali, segreti bancari, dati personali e altre informazioni legalmente protette, quindi il problema di rilevarli nel traffico è un prerequisito per qualsiasi soluzione.

Funzioni hash

Vari tipi di funzioni hash per campioni di documenti riservati erano un tempo considerati una nuova parola nel mercato della protezione dalle perdite, sebbene la tecnologia stessa sia in circolazione dagli anni '70. In Occidente, questo metodo è talvolta chiamato "impronte digitali", cioè "impronte digitali", o "shindles" in gergo scientifico.

L'essenza di tutti i metodi è la stessa, sebbene gli algoritmi specifici per ciascun produttore possano differire in modo significativo. Alcuni algoritmi sono addirittura brevettati, il che conferma l'unicità dell'implementazione. Lo scenario d'azione generale è il seguente: è in corso la raccolta di un database di campioni di documenti riservati. Da ciascuno di essi viene presa un'"impronta", ad es. il contenuto significativo viene estratto dal documento, che viene ridotto a una normale forma di testo, ad esempio (ma non necessariamente), quindi vengono rimossi gli hash di tutto il contenuto e le sue parti, come paragrafi, frasi, cinque di parole, ecc. , il dettaglio dipende dall'implementazione specifica. Queste impronte digitali sono memorizzate in un database speciale.

Il documento intercettato viene cancellato dalle informazioni di servizio allo stesso modo e portato a una forma normale, quindi le impronte digitali vengono rimosse da esso utilizzando lo stesso algoritmo. Le stampe ricevute vengono ricercate nel database delle stampe di documenti riservati e, se trovate, il documento è considerato riservato. Poiché questo metodo viene utilizzato per trovare citazioni dirette da un documento di esempio, la tecnologia è talvolta chiamata "anti-plagio".

La maggior parte dei vantaggi di questo metodo sono anche i suoi svantaggi. Prima di tutto, questo è il requisito per utilizzare documenti di esempio. Da un lato, l'utente non deve preoccuparsi di parole d'ordine, termini significativi e altre informazioni completamente non specifiche per gli agenti di sicurezza. D'altra parte, "nessun modello, nessuna protezione" pone gli stessi problemi con i documenti nuovi e in entrata delle tecnologie basate sull'etichetta. Un vantaggio molto importante di questa tecnologia è la sua focalizzazione sul lavoro con sequenze di caratteri arbitrarie. Da ciò deriva, prima di tutto, l'indipendenza dalla lingua del testo - anche dai geroglifici, persino dal pashtu. Inoltre, una delle principali conseguenze di questa proprietà è la possibilità di rilevare le impronte digitali da informazioni non testuali: database, disegni, file multimediali. Sono queste tecnologie che gli studi di Hollywood e gli studi di registrazione mondiali utilizzano per proteggere i contenuti multimediali nei loro archivi digitali.

Sfortunatamente, le funzioni hash di basso livello non sono robuste per la codifica primitiva discussa nell'esempio della firma. Riescono facilmente a cambiare l'ordine delle parole, riorganizzare i paragrafi e altri trucchi dei "plagiari", ma, ad esempio, cambiare le lettere in tutto il documento distrugge lo schema hash e un tale documento diventa invisibile all'intercettore.

Usare solo questo metodo complica il lavoro con i moduli. Quindi, un modulo di richiesta di prestito vuoto è un documento distribuito gratuitamente e uno compilato è riservato, poiché contiene dati personali. Se prendi semplicemente un'impronta digitale da un modulo vuoto, il documento completato intercettato conterrà tutte le informazioni dal modulo vuoto, ad es. Le stampe corrisponderanno in gran parte. Pertanto, il sistema consentirà il passaggio di informazioni riservate o impedirà la libera distribuzione di moduli vuoti.

Nonostante le carenze citate, questo metodo è ampiamente utilizzato, soprattutto in un'azienda che non può permettersi dipendenti qualificati, ma opera secondo il principio "metti tutte le informazioni riservate in questa cartella e dormi bene". In questo senso, richiedere documenti specifici per proteggerli è in qualche modo simile a soluzioni basate su etichette, archiviate solo separatamente dai campioni e conservate quando si cambia il formato del file, si copia parte del file, ecc. Tuttavia, una grande azienda che ha centinaia di migliaia di documenti in circolazione spesso semplicemente non è in grado di fornire campioni di documenti riservati, perché. i processi aziendali dell'azienda non lo richiedono. L'unica cosa che è (o, più onestamente, dovrebbe essere) in ogni impresa è "l'elenco delle informazioni che costituiscono un segreto commerciale". Realizzarne degli schemi non è un compito banale.

La facilità di aggiungere campioni a un database di contenuti controllato spesso gioca brutti scherzi agli utenti. Questo porta ad un graduale aumento della base delle impronte digitali, che incide notevolmente sulle prestazioni del sistema: più campioni, più confronti di ogni messaggio intercettato. Poiché ogni stampa occupa dal 5 al 20% dell'originale, la base delle stampe cresce gradualmente. Gli utenti notano un forte calo delle prestazioni quando il database inizia a superare la RAM del server di filtraggio. Di solito il problema viene risolto controllando regolarmente i documenti campione e rimuovendo campioni obsoleti o duplicati, ad es. risparmiando sull'implementazione, gli utenti perdono sul funzionamento.

Metodi linguistici

Il metodo di analisi più comune oggi è l'analisi linguistica del testo. È così popolare che viene spesso chiamato colloquialmente "filtro dei contenuti". porta le caratteristiche dell'intera classe di metodi di analisi del contenuto. Dal punto di vista della classificazione, sia l'analisi hash che l'analisi della firma e l'analisi della maschera sono "filtraggio dei contenuti", ovvero filtraggio del traffico basato sull'analisi dei contenuti.

Come suggerisce il nome, il metodo funziona solo con i testi. Non lo utilizzerai per proteggere un database composto solo da numeri e date, in particolare disegni, disegni e una raccolta di canzoni preferite. Ma con i testi, questo metodo fa miracoli.

La linguistica come scienza consiste in molte discipline: dalla morfologia alla semantica. Pertanto, anche i metodi di analisi linguistica differiscono l'uno dall'altro. Ci sono metodi che usano solo parole stop, inserite solo a livello radice, e il sistema stesso compila già un dizionario completo; ci sono termini basati sulla distribuzione dei pesi incontrati nel testo. Esistono metodi linguistici e le loro impronte basate sulla statistica; ad esempio si prende un documento, si contano le cinquanta parole più usate, quindi si selezionano le 10 parole più usate in ogni paragrafo. Tale "dizionario" è una caratteristica quasi unica del testo e consente di trovare citazioni significative nei "cloni".

L'analisi di tutte le sottigliezze dell'analisi linguistica non rientra nell'ambito di questo articolo, quindi ci concentreremo sui vantaggi e gli svantaggi.

Il vantaggio del metodo è la completa insensibilità al numero di documenti, ad es. raro per la scalabilità della sicurezza delle informazioni aziendali. La base di filtraggio dei contenuti (un insieme di classi e regole di vocabolario chiave) non cambia di dimensione a seconda dell'aspetto di nuovi documenti o processi nell'azienda.

Inoltre, gli utenti notano in questo metodo la somiglianza con le "parole di arresto" in quanto se il documento è in ritardo, è immediatamente chiaro il motivo per cui ciò è accaduto. Se un sistema basato su impronte digitali segnala che un documento è simile a un altro, il responsabile della sicurezza dovrà confrontare lui stesso i due documenti e nell'analisi linguistica riceverà contenuti già contrassegnati. I sistemi linguistici insieme al filtraggio delle firme sono così comuni perché consentono di iniziare a lavorare senza modifiche nell'azienda subito dopo l'installazione. Non è necessario preoccuparsi di etichettare e rilevare le impronte digitali, fare l'inventario dei documenti e svolgere altri lavori non specifici per un addetto alla sicurezza.

Gli svantaggi sono altrettanto evidenti e il primo è la dipendenza dalla lingua. In ogni paese la cui lingua è supportata dal produttore, questo non è uno svantaggio, ma dal punto di vista delle aziende globali che hanno, oltre a un'unica lingua di comunicazione aziendale (ad esempio l'inglese), molti più documenti in locale lingue in ogni paese, questo è un chiaro svantaggio.

Un altro inconveniente è un'elevata percentuale di errori di tipo II, che richiede una qualifica nel campo della linguistica (per mettere a punto la base di filtraggio) per ridurla. I database di settore standard in genere forniscono una precisione di filtraggio dell'80-85%. Ciò significa che ogni quinta o sesta lettera viene intercettata per errore. L'impostazione della base su un'accuratezza accettabile del 95-97% è solitamente associata all'intervento di un linguista appositamente formato. E sebbene per imparare a regolare la base di filtraggio basti avere due giorni di tempo libero e parlare la lingua a livello di diplomato, non c'è nessuno che faccia questo lavoro, tranne un addetto alla sicurezza, e di solito considera tale lavoro non fondamentale. Attirare una persona dall'esterno è sempre rischioso: dopotutto, dovrà lavorare con informazioni riservate. La via d'uscita da questa situazione è solitamente l'acquisto di un modulo aggiuntivo: un "autolinguista" ad autoapprendimento, che viene "alimentato" con falsi positivi e adatta automaticamente la base standard del settore.

I metodi linguistici vengono scelti quando vogliono ridurre al minimo le interferenze nel business, quando il servizio di sicurezza delle informazioni non dispone delle risorse amministrative per modificare i processi esistenti per la creazione e l'archiviazione dei documenti. Funzionano sempre e ovunque, anche se con gli svantaggi citati.

Canali popolari di supporti di archiviazione mobili di perdite accidentali

Gli analisti di InfoWatch ritengono che i media mobili (laptop, unità flash, comunicatori mobili, ecc.) rimangano il canale più popolare per le perdite accidentali, poiché gli utenti di tali dispositivi spesso trascurano gli strumenti di crittografia dei dati.

Un'altra causa comune di perdite accidentali sono i supporti cartacei: è più difficile da controllare rispetto ai supporti elettronici, poiché, ad esempio, dopo che un foglio ha lasciato la stampante, può essere monitorato solo "manualmente": il controllo sui supporti cartacei è più debole del controllo sulle informazioni del computer. Molti strumenti di protezione dalle perdite (non puoi chiamarli sistemi DLP a tutti gli effetti) non controllano il canale di output delle informazioni alla stampante, quindi i dati riservati fuoriescono facilmente dall'organizzazione.

Questo problema può essere risolto con sistemi DLP multifunzionali che bloccano l'invio di informazioni non autorizzate per la stampa e controllano la corrispondenza dell'indirizzo postale e del destinatario.

Inoltre, la crescente popolarità dei dispositivi mobili rende molto più difficile la protezione contro le perdite, poiché non esistono ancora client DLP corrispondenti. Inoltre, è molto difficile rilevare una perdita nel caso della crittografia o della steganografia. Un insider, per aggirare una sorta di filtro, può sempre rivolgersi a Internet per le “best practices”. Cioè, i mezzi DLP proteggono piuttosto male da una fuga intenzionale organizzata.

L'efficacia degli strumenti DLP può essere ostacolata dai loro evidenti difetti: le moderne soluzioni di protezione dalle perdite non consentono di controllare e bloccare tutti i canali di informazione disponibili. I sistemi DLP monitoreranno la posta elettronica aziendale, l'utilizzo del Web, la messaggistica istantanea, i supporti esterni, la stampa di documenti e il contenuto del disco rigido. Ma Skype rimane fuori controllo per i sistemi DLP. Solo Trend Micro è riuscita a dichiarare di poter controllare il funzionamento di questo programma di comunicazione. Gli sviluppatori rimanenti promettono che la funzionalità corrispondente sarà fornita nella prossima versione del loro software di sicurezza.

Ma se Skype promette di aprire i suoi protocolli agli sviluppatori DLP, altre soluzioni, come Microsoft Collaboration Tools per l'organizzazione della collaborazione, restano chiuse ai programmatori di terze parti. Come controllare la trasmissione di informazioni su questo canale? Nel frattempo, nel mondo moderno, la pratica si sta sviluppando quando gli specialisti si uniscono a distanza in team per lavorare su un progetto comune e si disintegrano dopo il suo completamento.

Le principali fonti di fuga di informazioni riservate nella prima metà del 2010 sono ancora le organizzazioni commerciali (73,8%) e governative (16%). Circa l'8% delle perdite proviene da istituzioni educative. La natura delle informazioni riservate che trapelano sono dati personali (quasi il 90% di tutte le fughe di informazioni).

I leader dei leak nel mondo sono tradizionalmente gli Stati Uniti e la Gran Bretagna (anche Canada, Russia e Germania con cifre nettamente inferiori sono tra i primi cinque paesi per maggior numero di leak), ciò è dovuto alla particolarità della normativa di questi paesi, che richiede la segnalazione di tutti gli incidenti di fuga di dati riservati. Gli analisti di Infowatch prevedono una diminuzione della quota di perdite accidentali e un aumento della quota di perdite intenzionali il prossimo anno.

Difficoltà di attuazione

Oltre alle ovvie difficoltà, l'implementazione di DLP è anche ostacolata dalla difficoltà di scegliere la giusta soluzione, poiché vari fornitori di sistemi DLP professano i propri approcci all'organizzazione della protezione. Alcuni hanno algoritmi brevettati per l'analisi del contenuto tramite parole chiave, mentre altri offrono un metodo di impronte digitali. Come scegliere il miglior prodotto in queste condizioni? Cosa c'è di più efficiente? È molto difficile rispondere a queste domande, dal momento che oggi ci sono pochissime implementazioni di sistemi DLP e ci sono ancora meno pratiche reali per il loro utilizzo (su cui si potrebbe fare affidamento). Ma quei progetti che sono stati comunque implementati hanno mostrato che la consulenza rappresenta più della metà dell'ambito del lavoro e del budget, e questo di solito provoca grande scetticismo tra i dirigenti. Inoltre, di norma, i processi aziendali esistenti dell'impresa devono essere ristrutturati per soddisfare i requisiti del DLP e le aziende hanno difficoltà a farlo.

In che misura l'introduzione del DLP aiuta a rispettare gli attuali requisiti delle autorità di regolamentazione? In Occidente, l'introduzione dei sistemi DLP è motivata da leggi, standard, requisiti del settore e altre normative. Secondo gli esperti, chiari requisiti legali disponibili all'estero, linee guida per garantire i requisiti sono il vero motore del mercato DLP, poiché l'introduzione di soluzioni speciali elimina le pretese delle autorità di regolamentazione. Abbiamo una situazione completamente diversa in questo settore e l'introduzione dei sistemi DLP non aiuta a rispettare la legge.

Un certo incentivo per l'introduzione e l'uso della DLP in un ambiente aziendale potrebbe essere la necessità di proteggere i segreti commerciali delle aziende e rispettare i requisiti della legge federale "Sui segreti commerciali".

Quasi tutte le imprese hanno adottato documenti come il "Regolamento sui segreti commerciali" e l'"Elenco delle informazioni che costituiscono un segreto commerciale" e dovrebbero essere seguiti i loro requisiti. C'è un'opinione secondo cui la legge "Sui segreti commerciali" (98-FZ) non funziona, tuttavia, i dirigenti dell'azienda sono ben consapevoli che è importante e necessario per loro proteggere i loro segreti commerciali. Questa consapevolezza, inoltre, è molto superiore alla comprensione dell'importanza della legge "Sui Dati Personali" (152-FZ), ed è molto più facile per qualsiasi manager spiegare la necessità di introdurre la gestione riservata dei documenti piuttosto che parlare di protezione dei dati personali.

Cosa impedisce l'uso di DLP nel processo di automatizzazione della protezione dei segreti commerciali? Secondo il codice civile della Federazione Russa, al fine di introdurre un regime di protezione dei segreti commerciali, è solo necessario che le informazioni abbiano un certo valore e siano incluse nell'elenco appropriato. In tal caso, il titolare di tali informazioni è tenuto per legge ad adottare misure atte a proteggere le informazioni riservate.

Allo stesso tempo, è ovvio che DLP non sarà in grado di risolvere tutti i problemi. In particolare, riguardano l'accesso a informazioni riservate a terzi. Ma ci sono altre tecnologie per questo. Molte moderne soluzioni DLP possono integrarsi con esse. Quindi, quando si costruisce questa catena tecnologica, si può ottenere un sistema di lavoro per proteggere i segreti commerciali. Un tale sistema sarà più comprensibile per l'azienda ed è l'azienda che sarà in grado di agire come cliente del sistema di protezione dalle perdite.

Russia e Occidente

Secondo gli analisti, la Russia ha un diverso atteggiamento nei confronti della sicurezza e un diverso livello di maturità delle aziende che forniscono soluzioni DLP. Il mercato russo si concentra su specialisti della sicurezza e problemi altamente specializzati. Le persone che si occupano di prevenzione delle violazioni dei dati non sempre capiscono quali dati siano preziosi. In Russia, approccio "militarista" all'organizzazione dei sistemi di sicurezza: un perimetro forte con firewall e ogni sforzo per impedirne la penetrazione all'interno.

Ma cosa succede se un dipendente dell'azienda ha accesso a una quantità di informazioni che non è necessaria per svolgere le sue funzioni? D'altra parte, se guardiamo all'approccio che si è formato in Occidente negli ultimi 10-15 anni, possiamo dire che viene prestata maggiore attenzione al valore dell'informazione. Le risorse sono indirizzate a dove si trovano le informazioni preziose e non a tutte le informazioni di seguito. Forse questa è la più grande differenza culturale tra l'Occidente e la Russia. Tuttavia, secondo gli analisti, la situazione sta cambiando. Le informazioni stanno iniziando a essere percepite come una risorsa aziendale e ci vorrà del tempo per evolversi.

Non esiste una soluzione completa

La protezione contro le perdite al 100% non è stata ancora sviluppata da nessun produttore. I problemi con l'utilizzo dei prodotti DLP sono formulati da alcuni esperti come segue: l'uso efficace dell'esperienza di gestione delle perdite utilizzate nei sistemi DLP richiede la comprensione che molto lavoro per fornire protezione dalle perdite deve essere svolto dal lato del cliente, poiché nessuno conosce meglio di lui i flussi di informazioni.

Altri ritengono che sia impossibile proteggersi dalle perdite: è impossibile prevenire la fuga di informazioni. Poiché l'informazione è di valore per qualcuno, prima o poi verrà ricevuta. Gli strumenti software possono rendere l'ottenimento di queste informazioni più costoso e dispendioso in termini di tempo. Ciò può ridurre significativamente il vantaggio di possedere informazioni, la sua rilevanza. Ciò significa che l'efficienza dei sistemi DLP deve essere monitorata.

»

Oggi, il mercato dei sistemi DLP è uno dei più in rapida crescita tra tutti gli strumenti di sicurezza delle informazioni. Tuttavia, la sfera della sicurezza informatica domestica non ha tenuto il passo con le tendenze globali e quindi il mercato dei sistemi DLP nel nostro paese ha le sue caratteristiche.

Cos'è il DLP e come funzionano?

Prima di parlare del mercato dei sistemi DLP, è necessario decidere cosa si intende, in effetti, quando si tratta di tali soluzioni. I sistemi DLP sono comunemente intesi come prodotti software che proteggono le organizzazioni dalla fuga di informazioni riservate. L'abbreviazione stessa DLP sta per Data Leak Prevention, ovvero la prevenzione delle fughe di dati.

Tali sistemi creano un "perimetro" digitale sicuro attorno all'organizzazione, analizzando tutte le informazioni in uscita e, in alcuni casi, in entrata. Le informazioni controllate dovrebbero essere non solo il traffico Internet, ma anche una serie di altri flussi di informazioni: documenti che vengono portati al di fuori del circuito di sicurezza protetto su supporti esterni, stampati su una stampante, inviati a supporti mobili tramite Bluetooth, ecc.

Poiché il sistema DLP deve impedire la fuga di informazioni riservate, dispone necessariamente di meccanismi integrati per determinare il grado di riservatezza di un documento rilevato nel traffico intercettato. Di norma, i metodi più comuni sono due: analizzando speciali indicatori di documento e analizzando il contenuto del documento. Attualmente, la seconda opzione è più comune perché è resistente alle modifiche apportate al documento prima che venga inviato e consente anche di espandere facilmente il numero di documenti riservati con cui il sistema può lavorare.

Attività DLP "laterali".

Oltre al loro compito principale relativo alla prevenzione delle fughe di informazioni, i sistemi DLP sono adatti anche per risolvere una serie di altri compiti relativi al controllo delle azioni del personale.

Molto spesso, i sistemi DLP vengono utilizzati per risolvere autonomamente le seguenti attività non principali:

• monitorare l'utilizzo dell'orario di lavoro e delle risorse lavorative da parte dei dipendenti;
• monitorare la comunicazione dei dipendenti al fine di identificare lotte "sotto copertura" che possono danneggiare l'organizzazione;
• controllo sulla legittimità delle azioni dei dipendenti (prevenzione della stampa di documenti contraffatti, ecc.);
• individuazione dei dipendenti che inviano curricula per la ricerca rapida di specialisti per posizione vacante.

Poiché molte organizzazioni considerano una serie di queste attività (in particolare il controllo dell'uso dell'orario di lavoro) una priorità maggiore rispetto alla protezione contro la fuga di informazioni, sono emersi numerosi programmi progettati specificamente per questo, ma in alcuni i casi possono anche funzionare come mezzo per proteggere l'organizzazione dalle perdite. Ciò che distingue tali programmi dai sistemi DLP a tutti gli effetti è la mancanza di strumenti avanzati per l'analisi dei dati intercettati, che deve essere eseguita manualmente da uno specialista della sicurezza delle informazioni, il che è conveniente solo per organizzazioni molto piccole (fino a dieci dipendenti controllati).